Madrid, 25 de Octubre de 2018

Transcripción

1 Madrid, 25 de Octubre de

2 ÍNDICE. 1. INTRODUCCIÓN. RECORRIDO POR LAS NUEVAS AMENAZAS. 2. ESPAÑA 2017: UN AÑO DE ATAQUES. 3. POR QUÉ NOS PASA? 4. MEDIDAS DE SEGURIDAD DEL SERMAS. 5. UN PASO MAS, LA LEY PIC: OPERADOR CRÍTICO. PLANIFICACIÓN DEL SISTEMA. PLANES DE SEGURIDAD DEL OPERADOR. PLANES DE PROTECCIÓN ESPECIFICOS. PSO VS PPE. 6. RETOS Y DIFICULTADES. 2

3 1. INTRODUCCIÓN. Recorrido por las nuevas amenazas. El CNPIC se centra en aquellos ataques deliberados que tienen poca probabilidad, pero muy alto impacto, es por ello que el árbol de amenazas es proporcionado por esta entidad, para tenerlo en cuenta en el análisis de riesgos del PPE. A continuación se muestran algunos ejemplos de este tipo de ataques que se han dado en la historia: 3

4 1. INTRODUCCIÓN. Ataques contra IC Oleoducto Siberiano 1992 Petrolera Chevrón 1994 Hidroeléctrica SRP 2000 Marochy Water System 2012 Petrolera Saudí Aramco Red Eléctrica Ucraniana. 4

5 2. ESPAÑA 2017: UN AÑO DE ATAQUES. Una tendencia al alza. Fuente: Centro Criptológico Nacional 5

6 2. ESPAÑA 2017: UN AÑO DE ATAQUES. Resumen anual. #OpCatalunya Saguaro (enero 2017) OwnCloud (febrero 2017) Strusts (marzo 2017) Wannacry 2.0 (mayo 2017) notpetya (junio 2017) (octubre 2017) Fuente: Centro Criptológico Nacional 6

7 2. ESPAÑA 2017: UN AÑO DE ATAQUES. Saguaro (enero 2017). Actor mexicano con intereses económicos y enfocado en el robo de credenciales. Uso de múltiples troyanos para crear botnets. Varios servidores C2 habían sido registrados en España. Se hizo un DNS sinkholing sobre dichos dominios. Fuente: Centro Criptológico Nacional ~ bots > Ips diferentes afectadas. > 36 países afectados. 7

8 2. ESPAÑA 2017: UN AÑO DE ATAQUES. Own Cloud (febrero 2017). Suite que permite tener un servidor en una nube privada para compartir archivos, gestionar tareas, reproducir archivos online, etc. Explotación de varias vulnerabilidades, acceso a archivos y ejecución de código, etc. 10 entidades afectadas. Algunas de ellas, siguen siendo vulnerables. Fuente: Centro Criptológico Nacional 8

9 2. ESPAÑA 2017: UN AÑO DE ATAQUES. Strust (marzo 2017). Vulnerabilidad que afecta a millones de servidores web conectados a Internet empleados por grandes empresas e instituciones en todo el mundo. En España, 75 organismos afectados, 6 de ellos con impacto crítico. 4 equipos desplazados. Trabajo en fin de semana. Fuente: Centro Criptológico Nacional Herramienta de soporte para el desarrollo de las aplicaciones web. El 29 de enero de 2017, se hizo pública una vulnerabilidad con código CVE , que permitiría a un atacante ejecutar órdenes remotas sobre un servidor a través de un contenido subido al componente de análisis Jakarta Multipart. El 16 de agosto de 2017, se hizo pública una nueva vulnerabilidad CVE , que afecta a este software, que de la misma forma que la anterior vulnerabilidad, permitiría a un atacante ejecutar órdenes remotas sobre un servidor. 9

10 2. ESPAÑA 2017: UN AÑO DE ATAQUES. Wannacry (mayo 2017). Ciberataque en el ámbito sanitario. En mayo de 2017, al menos 16 hospitales pertenecientes al Servicio Nacional de Salud de Inglaterra y Escocia fueron afectados por el famoso Ransomware Wanna Decryptor. Los profesionales tuvieron que entrar en una situación de contingencia utilizando soporte papel y sus propios teléfonos móviles para intentar mermar lo menos posible el servicio de dichos centros, viéndose obligados a cancelar numerosas citas y dejar de atender a los pacientes que se encontraban en los mismo. 10

11 2. ESPAÑA 2017: UN AÑO DE ATAQUES. Not Petya (junio 2017). Robo de credenciales. ETERNALBLUE para propagación. Demostración de fuerza? Fuente: Centro Criptológico Nacional Ataque a la cadena de suministro de Ucrania. Propagación desde sedes ucranianas. Destructivo, no ransomware. Imposible descifrar los ficheros aunque se pague. 11

12 2. ESPAÑA 2017: UN AÑO DE ATAQUES. OpCatalunya (octubre 2017). Campaña contra AAPP y empresas #OpCataluya (4 fases). Más de 70 páginas web atacadas. Ataques de DDoS. Data Dumps (30 objetivos). Uso de redes sociales e IRC para visibilidad y coordinación. Sin impacto grave (caída breve del servicio web). Fuente: Centro Criptológico Nacional 12

13 3. POR QUÉ NOS PASA? Por qué se producen? Obsolescencia vertiginosa El avance de las tecnologías y su implantación es tal que el mercado no responde con suficiente rapidez a las nuevas amenazas. Diversidad del parque tecnológico La aplicación de medidas de seguridad hace necesario una actualización de aplicaciones que no puede ser inmediata sin riesgos de interrupción del servicio por cuestiones de incompatibilidad entre los nuevos sistemas y los anteriores. 13

14 4. MEDIDAS DE SEGURIDAD DEL SERMAS. Oficina de Seguridad. La Oficina de Seguridad, desde su creación, ha desarrollado diversas medidas de seguridad de cara a aumentar el grado de madurez del SERMAS, tanto a nivel de ciberseguridad como de protección de datos. Dichas medidas de seguridad pueden agruparse en las siguientes líneas de servicio. Monitorización y correlación de eventos de seguridad (Servicio SOC). Análisis de software, hardware, malware y análisis forense. Asesoría y auditoría de controles de seguridad de TI. Comunicación y formación en seguridad de la información. Cumplimiento legal y normativo. OSSI Oficina de Seguridad de Sistemas de Información. Gestión documental. 14

15 4. MEDIDAS DE SEGURIDAD DEL SERMAS. Asesoramiento y consultoría legal El servicio está orientado al desarrollo de actividades de asesoría y consultoría para el cumplimiento de la legislación vigente y normativa relacionada con las tecnologías de la información, incluyendo actividades relacionadas con administración electrónica. Asesoría y consultoría legal y normativa. Asesoría ante incidencias legales y procedimientos sancionadores. Adecuación a la normativa vigente (ENS, entre otras). Intermediarios entre la AEPD y la CSCM. Asesoría en la gestión de Derechos del Ciudadano. Auditorías de cumplimiento normativo (LOPD, ENS, entre otras). Mantenimiento y mejora continua del SGSI de la OSSI. 15

16 4. MEDIDAS DE SEGURIDAD DEL SERMAS. Asesoría y auditoría de controles de seguridad TI. El servicio que se presta tiene como objetivo velar por un adecuado grado de madurez de la seguridad de los sistemas de información en los centros de la CSCM, que asegure la continuidad del servicio y otros riesgos como perdida de datos o confidencialidad. Este proceso se basa en la asesoría y el seguimiento de la normativa aplicable, así como de estándares y códigos de buenas prácticas, relacionados con la seguridad de los sistemas de información. Auditorías de controles generales de TI en centros de la CSCM. Indicadores de Contrato Programa y Diagnósticos de Seguridad (ISO 27002). Auditorías de seguridad física y medioambiental de la infraestructura tecnológica (CPDs). Estándar TIER. Asesoría en desarrollo de medidas de seguridad TI. Auditoría de trazas de acceso a Historias Clínicas. Herramienta Horus Track. 16

17 4. MEDIDAS DE SEGURIDAD DEL SERMAS. Monitorización y correlación de eventos de seguridad (Servicios SOC). El servicio de monitorización consta de más de 50 desplegadas por toda la infraestructura del SERMAS. Estas sondas, monitorizan de forma constante el trafico de los centros en los que están desplegadas, detectando patrones de tráfico anómalos, que puedan corresponder a comportamientos sospechosos y/o derivados de malware. Actualmente semonitorizan mas de dispositivos en todo el parque. Permitir la integración con plataformas y clientes específicos de Hospitales. ARQUITECTURA REGISTROS DE AUDITORÍA Registro de todos los sucesos y ocurrencias que puedan comprometer la seguridad de la información. SOC 24x7 Asimismo la Oficina de Seguridad cuenta con un equipo especializado en el SIEM Alienvault que vela por la Ciberseguridad de la infraestructura. Colaboración CCN-CERT Detectar usos incorrectos de las infraestructuras mediante la monitorización y revisión de resultados. USO NO AUTORIZADO ANÁLISIS Analizar y correlar centralizadamente los eventos y riesgos de la seguridad. Generación y reporting de alertas. Con el fin de aumentar el grado de madurez de seguridad, se participa activamente con el organismo CCN-CERT, donde se trabaja en proyectos como el despliegue de sondas ICS (SCADA). 17

18 4. MEDIDAS DE SEGURIDAD DEL SERMAS. Análisis de software y hardware. El servicio de análisis de software y hardware tiene como objetivo comprobar los niveles de seguridad reales de los sistemas de información y dispositivos hardware de la CSCM, así como de los nuevos que se quieran implantar o adquirir, procurando de esta forma que lleguen a tener un nivel de seguridad adecuado para la entidad y así evitar potenciales pérdidas de información confidencial o indisponibilidad de los sistemas, entre otros. De forma reactiva se desarrollan actividades de informática forense. Comprende servicios tales como: Análisis de SW/HW Análisis de aplicaciones. Auditorias de seguridad técnico/jurídicas. Análisis de vulnerabilidades. Análisis de código estático. Test de intrusión. Asesoría de mitigación de riesgos. Análisis de cumplimiento normativo. Análisis de malware. Consultoría forense. 18

19 4. MEDIDAS DE SEGURIDAD DEL SERMAS. Comunicación y Formación en Seguridad de la Información. Este servicio que se presta está orientado a la concienciación y formación en materia de seguridad de la información, y al entendimiento de la legislación y normativa que les aplica a todos los entes de la CSCM. Incluye además el uso de las nuevas tecnologías para hacer llegar la información a todo el personal de la CSCM, como por ejemplo redes sociales y alertas de contenido, que ayuden a dar a conocer los avances en la materia. Desarrollo de material de formación relacionado con la seguridad de la información y normativa aplicable Impartición de cursos en Seguridad de la Información Normativa como LOPD, ENS, entre otra Estándares Internacionales y Códigos de Buenas Prácticas Gestión del contenido del portal de la Intranet de la OSSI Elaboración y comunicación del Boletín de Seguridad de la CSCM Generación de canales de comunicación para la concienciación en materia de seguridad de la información Gestión y asesoría en utilización de herramientas web

20 5. UN PASO MÁS, LA LEY PIC Tipos de Infraestructuras críticas. Se identifican los sectores en los cuales se prestan servicios a los ciudadanos: Investigac ión Energía Información y comunicaciones Gobierno Industria química Industria nuclear Transporte Espacio Salud Agua Alimentación 20

21 5. UN PASO MÁS, LA LEY PIC OPERADOR CRÍTICO. Obligaciones y Funciones. Qué se espera de nosotros? Asesorar Técnicamente Acerca de las infraestructuras propias al CNPIC. Al Ministerio del Interior por medio del CNPIC. Colaborar Con el grupo de trabajo en la realización de Planes Estratégicos Sectoriales. (Cuando sea necesario) Elaborar Plan de Seguridad del Operador. Plan de Protección Especifico por cada una de las infraestructuras criticas. Designar Responsable de Seguridad y Enlace. Delegado de Seguridad para cada una de las infraestructuras crítica. Facilitar Las inspecciones que las autoridades competentes lleven a cabo para verificar el cumplimiento. Adoptar Las medidas de seguridad que sean precisas en cada Plan, solventando en menor tiempo posible las deficiencias detectadas. (Cuando el CNPIC lo determine) 21

22 5. UN PASO MÁS, LA LEY PIC PLANIFICACIÓN DEL SISTEMA. Planes Quién tiene que hacer qué? LPIC / RDPIC Parlamento / Gobierno Planes Sectoriales Grupo de trabajo, CNPIC Planes Seguridad del Operador Operador Crítico Planes protección específicos Planes de apoyo operativo Cuerpo Policial Estatal 22

23 5. UN PASO MÁS, LA LEY PIC PSO PLANES DE SEGURIDAD DEL OPERADOR. Qué debe tener un PSO? Política general de Seguridad del Operador. Ámbito, alcance y actuación sobre las infraestructuras criticas, explicando las medidas utilizadas para protegerlas. Basándose en el concepto de seguridad integral, en decir anudando la seguridad física con la ciberseguridad. Descripción de la relación de los servicios esenciales prestados. Identificar y mantener los servicios esenciales prestado de cara a la ciudadanía. Elaborar un estudio de las consecuencias de la interrupción de los servicios y las interdependencias asociadas. Descripción de la metodología de análisis de riesgos. Indicar las metodología o metodologías que se utilizaran y se aplicarán en el PPE. La metodología propuesta en nuestro caso sería MAGERIT. Descripción criterios seguridad. Definición a grandes rasgos de los criterios de la seguridad integral. Otra documentación adicional Asociación y referencias con otros planes y documentación de partida. 23

24 5. UN PASO MÁS, LA LEY PIC PLANES DE SEGURIDAD DEL OPERADOR. Qué hemos hecho en el SERMAS? QUÉ Y QUIÉNES SON OPERADORES CRÍTICOS? Plan de Seguridad del Operador (versión preliminar). Se han elaborado los siguientes documentos: PSO_SERMAS_00_Plan de Seguridad del Operador PSO Este documento tiene como objeto dar cumplimiento a las instrucciones emanadas del Real Decreto 704/2011, estableciendo los contenidos mínimos sobre los que se debe de apoyar un operador crítico a la hora del diseño y elaboración de su PSO. PSO_SERMAS_01_Politica de Seguridad - Infraestructuras Críticas PSO_SERMAS_02_Organización de la Seguridad - Infraestructuras Críticas PSO_SERMAS_03_Análisis y Gestión Riesgos PSO_SERMAS_04 Clasificación, marcado y tratamiento de la información PSO_SERMAS_05 Competencias PSO_SERMAS_06_Modelo de Gestión de Seguridad PSO_SERMAS_07_ Plan de Comunicaciones PSO_SERMAS_08_Presentación y relación de servicios (En desarrollo) PSO_SERMAS_09_Análisis de Impacto-BIA Normativas y directrices de seguridad integral (En desarrollo) El operador debe asegurar que la política, directrices, responsabilidades y procedimientos se establecen y se operan. 24

25 5. UN PASO MÁS, LA LEY PIC PPE PLANES DE PROTECCIÓN ESPECÍFICO. Qué es un PPE? y Qué debe contener? Son los documentos operativos donde se definen las medidas concretas a poner en marcha por los operadores críticos para garantizar la seguridad integral (seguridad física y ciberseguridad) de sus infraestructuras críticas. Organización de la seguridad. Organización de Seguridad Delegados de Seguridad de las Infraestructuras Críticas. Mecanismos de coordinación. Mecanismos y responsables de aprobación. Descripción de la infraestructura. Mapas de red detallados, servidores, BBDD, IDS, firewalls, switchs. Interdependencias. Resultados del análisis de riesgos. Amenazas consideradas Medidas de seguridad integral existentes. Plan de acción propuesto. Acciones llevadas a cabo para mitigar el riesgo obtenido fruto del análisis de riesgos. 25

26 5. UN PASO MÁS, LA LEY PIC PLANES DE PROTECCIÓN ESPECÍFICO. Qué es un PPE? y Qué debe contener? POR QUÉ ES QUÉ NECESARIO QUÉ Y QUIÉNES REGULAR UNA SON INFRAESTRUCTURA OPERADORES LA PROTECCIÓN CRÍTICOS? CRÍTICA? DE LAS Plan de Protección Específico. INFRAESTRUCTURAS CRÍTICAS? Compuesto por el siguiente contenido: Identificar y documentar la organización de la seguridad en la IC (En desarrollo) Identificar y documentar las arquitecturas de los sistemas de información, tanto los tradicionales (ICT - Information and Communications Technology) como los de carácter industrial ICS (Industrial Control System). (En desarrollo) Identificar y documentar los datos relativos a la instalación; denominación y tipo, propiedad y gestión, localización y estructura física, y descripción del servicio o servicio esenciales que proporciona junto con la relación con otras posibles infraestructuras necesarias para la prestación del servicio. (En desarrollo) Identificar las amenazas a las que está expuesta la IC. Revisar las medidas o controles de seguridad existentes, tanto a nivel técnico y organizativo, utilizando algún estándar o estándares reconocidos como ISO/IEC Analizar las vulnerabilidades a las que está expuesta la ICT frente a ataques externos desde la red Internet y redes internas. 26

27 5. UN PASO MÁS, LA LEY PIC PLANES DE PROTECCIÓN ESPECÍFICO. Qué es un PPE? y Qué debe contener? POR QUÉ ES CENTRO QUÉ NECESARIO QUÉ Y NACIONAL QUIÉNES REGULAR UNA SON PARA INFRAESTRUCTURA OPERADORES LA PROTECCIÓN CRÍTICOS? CRÍTICA? DE LAS Plan de Protección Específico. INFRAESTRUCTURAS CRÍTICAS CRÍTICAS? (CNPIC) Compuesto por los siguientes documentos: Analizar la seguridad en redes de control y sistemas SCADA (Supervisory Control and Data Acquisition). Evaluar los riesgos a los que está expuesta la IC. Elaborar un Plan de Tratamiento de los Riesgos que permita llevar el riesgo a niveles aceptables, implantando para ello controles de índole técnico y organizativo. Procedimiento de RRHH (En desarrollo) Procedimiento de gestión de cambios del operador IICC (En desarrollo) Procedimiento de seguridad física de la IICC (En desarrollo) Procedimiento de monitorización y supervisión (En desarrollo) Enlace con el plan de seguridad de PRL y plan de evacuación existente en la IICC (En desarrollo) Procedimiento de Gestión de Crisis y Comunicación (En desarrollo) Procedimiento de Auditoria (En desarrollo) Continuidad de negocio (En desarrollo) Análisis de impacto: Analizar el impacto de los servicios objeto del alcance. Plan de continuidad: Elaborar los planes. Plan de pruebas: Planificar las pruebas. 27

28 5. LA LEY PIC AL RESCATE. PSO VS PPE. PSO Políticas generales de los operadores críticos para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestión PPE Medidas concretas a poner en marcha por los operadores críticos para garantizar la seguridad integral (seguridad física y ciberseguridad) de sus infraestructuras críticas. Política general de seguridad del operador y marco de gobierno. Organización de la seguridad. Relación de Servicios Esenciales prestados por el operador crítico. Descripción de la infraestructura. Metodología de análisis de riesgo (amenazas físicas y de ciberseguridad). Resultado del análisis de riesgos. Criterios de aplicación de Medidas de Seguridad Integral. Plan de Acción propuesto (por activo). 28

29 6. RETOS Y DIFICULTADES. Por qué se producen? Arquitectura hibrida Suelen coexistir redes de tecnologías de información clásicas (TI) y redes de control industrial (OT) que gestionan elementos que interactúan con el medio físico. Variedad de dispositivos Los fabricantes suelen tener protocolos IoT específicos a los cuales los administradores de los clientes no tienen acceso a la configuración y monitorización. 29

30 6. RETOS Y DIFICULTADES. Buenas prácticas. Implementar e instalar los sistemas poniendo el foco en la seguridad de los mismos. Aumentar la visibilidad y monitorización del estado de los sistemas. Alineación de todos los planes de respuesta ante crisis Concienciación de los empleados 30

31 31